Surveillance de l'utilisation par un salarié d'une messagerie ...

Le 5 septembre 2017, la Grande Chambre de la Cour européenne des droits de .... voix contre six, à la violation de l'article 8 de la Convention de sauvegarde.
Télécharger le PDF
246KB taille 4 téléchargements 138 vues
commentaire
Report
Surveillance de l’utilisation par un salarié d’une messagerie instantanée professionnelle à des fins personnelles : arrêt Bărbulescu c/ Roumanie Le 5 septembre 2017, la Grande Chambre de la Cour européenne des droits de l’homme (ciaprès la « CEDH » ou la « Cour ») a pour la première fois examiné la question de la surveillance des communications électroniques d’un salarié par un employeur privé, dans le cadre d’un litige introduit par Monsieur Bărbulescu, un ingénieur salarié d’une société privée en Roumanie. Ce dernier avait été licencié pour avoir utilisé à des fins personnelles, en violation des dispositions du règlement intérieur de l’entreprise, un compte professionnel Yahoo Messenger créé à la demande de son employeur pour répondre aux questions des clients. L’arrêt rendu le mois dernier invalide une décision prise moins de deux ans plus tôt dans la même affaire 1. La CEDH avait alors conclu, par six voix contre une, que la surveillance par l’employeur des communications de Monsieur Bărbulescu avait été raisonnable dans le contexte d’une procédure disciplinaire, considérant que les juridictions nationales roumaines avaient mis en balance de manière adéquate le droit du salarié au respect de sa vie privée et de sa correspondance et les intérêts de l’employeur. Cet arrêt par lequel la Grande Chambre vient de conclure, par onze voix contre six, à la violation du droit du requérant au respect de sa vie privée, ne constitue pas pour autant une consécration absolue du droit des salariés à la protection de leur vie privée au détriment du droit de surveillance de l’employeur. En réalité son impact pour les employeurs au Luxembourg sera limité (I). Toutefois, à la lumière des faits de l’arrêt (II), on ne saurait trop conseiller aux employeurs, désireux de recourir à la mise en place d’un système de surveillance pour s’assurer que leurs salariés consacrent leur temps de travail à l’accomplissement de leur fonction, de veiller à respecter une certaine chronologie ainsi que de suivre la méthodologie suggérée par la Cour (III).

1

CEDH, 12 janvier 2016, arrêt n° 61496/08 (quatrième section)

1 © Arendt & Medernach

10/2017

I. Un impact limité pour les employeurs au Luxembourg En réalité, et contrairement à certains commentaires alarmistes, cet arrêt ne devrait pas fondamentalement bouleverser le droit interne, le Luxembourg offrant d’ores et déjà des garanties adéquates et suffisantes contre les atteintes à la vie privée dans le cadre de la relation de travail. Au Luxembourg, un employeur qui souhaite mettre en place un système de surveillance de ses salariés doit au préalable obtenir l’autorisation de la Commission Nationale pour la Protection des Données (ci-après la « CNPD »). L’employeur est également tenu, en vertu de l’article L.261-1 du Code du travail d’informer les salariés ainsi que la délégation du personnel préalablement à la mise en place d’un tel système de surveillance. En ce qui concerne l’utilisation d’internet ou d’une messagerie instantanée, une interdiction totale d’accéder à internet ou d’utiliser une messagerie instantanée pour des raisons privées durant les heures de travail ne saurait en aucun cas justifier une surveillance individualisée de l’utilisation qui en est faite pas un salarié sous prétexte que l'utilisation d’internet ou d’une messagerie instantanée au travail est présumée être faite exclusivement à usage professionnel, tout salarié ayant droit au respect de sa vie privée, y compris sur son lieu de travail. L’employeur demeure en droit d’imposer certaines conditions à l'utilisation d'internet ou d’une messagerie instantanée pour des besoins privés, mais devra, au cas où il prévoit de surveiller et contrôler l’usage qui en est fait par ses salariés, les informer de façon non équivoque quant au système de surveillance envisagé et quant aux modalités de contrôle susceptibles d’être pratiquées avant leur mise en place. La surveillance des salariés doit être graduée et être d’abord globale, sans mener à l’identification d’un salarié en particulier. Ce n’est que dans un second temps, lorsque l’employeur a des indices concrets sur une utilisation d'internet préjudiciable pour l'entreprise que l’employeur pourra alors prendre des mesures de contrôle appropriées et procéder à une surveillance individualisée. Finalement, cet arrêt est l’occasion de séparer le bon grain de l’ivraie : pas plus qu’auparavant, un salarié au Luxembourg ne pourra consacrer ses heures de travail à des fins personnelles en toute impunité. Simplement l’employeur qui souhaiterait licencier un salarié sur ce fondement ne pourra invoquer de preuves à cet égard que si ces dernières ont été obtenues loyalement. C’est justement la façon dont l’employeur a obtenu la preuve de la violation par le salarié du règlement intérieur qui a été déterminante dans l’affaire Bărbulescu.

2 © Arendt & Medernach

10/2017

II. La chronologie de la mise en place de la surveillance des communications du salarié : un élément déterminant dans l’appréciation de la licéité de la surveillance La chronologie des faits de l’espèce a été déterminante dans l’appréciation de la licéité de la surveillance de la messagerie instantanée du salarié. Le litige opposait une société commerciale roumaine de droit privé à un de ses salariés, Monsieur Bărbulescu, ingénieur chargé des ventes. Ce dernier avait été licencié pour avoir utilisé à des fins personnelles et pendant les heures de travail, en violation du règlement intérieur applicable, un compte de messagerie instantanée Yahoo Messenger (service de messagerie en ligne offrant une transmission de texte en temps réel sur internet) créé à la demande de l’employeur pour répondre aux questions des clients. Ledit règlement intérieur interdisait en effet strictement d’utiliser les ordinateurs à des fins personnelles sans toutefois préciser explicitement la possibilité pour l’employeur de surveiller les communications de ses salariés. En date du 20 décembre 2006, Monsieur Bărbulescu avait signé le règlement intérieur précité, après en avoir dûment pris connaissance. Le 3 juillet 2007, Monsieur Bărbulescu, à l’instar de ses collègues, reçut une note d’information rappelant que le temps passé dans l’entreprise devait être du temps consacré à l’entreprise et non à des occupations d’ordre privé. Dans cette note, l’employeur informait également les salariés qu’il se voyait « dans l’obligation de vérifier et de surveiller le travail des employés et de prendre des mesures de sanction envers les personnes en faute » et insistait sur le fait que les fautes des salariés « seront attentivement surveillées et réprimées ». A titre d’illustration, l’employeur rappela qu’un licenciement avait été prononcé contre une salariée pour motifs disciplinaires en raison de son utilisation des outils de communication de l’entreprise à des fins privées. Le requérant accusa réception de cette note d’information entre le 3 et le 13 juillet 2007. Du 5 au 13 juillet 2007, les communications de Monsieur Bărbulescu furent enregistrées en temps réel par l’employeur. Le 13 juillet 2007, l’employeur convoqua Monsieur Bărbulescu pour lui permettre d’expliquer les raisons de l’utilisation des ressources de la société à des fins personnelles. La convocation adressée au salarié précisait uniquement que l’employeur avait surveillé ses communications échangées sur la messagerie professionnelle instantanée et qu’il en ressortait qu’un certain nombre d’éléments laissaient présumer d’une utilisation d’internet à des fins personnelles contraire au règlement intérieur. L’employeur avait également joint à la convocation des graphiques indiquant que le trafic internet du salarié avait été supérieur à celui de ses autres collègues. Le salarié répondit à cette convocation par écrit en informant l’employeur qu’il n’avait utilisé la messagerie en question qu’à des fins professionnelles. Moins d’une heure plus tard, l’employeur convoqua une seconde fois le salarié le sommant d’expliquer pourquoi la correspondance échangée entre le 5 et le 12 juillet 2007 poursuivait des buts privés. Dans cette seconde convocation, l’employeur avait cette fois-ci annexé 45 pages de transcription de communications que le requérant avait eues avec son frère et sa fiancée, certains échanges portant sur des questions privées et ayant un caractère intime. Le 1er août 2007, l’employeur licencia le requérant pour faute disciplinaire. Monsieur Bărbulescu contesta son licenciement en justice devant les juridictions nationales roumaines arguant d’une atteinte à son droit au respect de la vie privée et de la correspondance.

3 © Arendt & Medernach

10/2017

Le 12 janvier 2016, une chambre de la quatrième section de la CEDH conclut, par six voix contre une, que la surveillance par l’employeur des communications de Monsieur Bărbulescu était raisonnable dans le contexte d’une procédure disciplinaire, la surveillance mise en place ayant permis à l’employeur de prouver la violation du règlement intérieur. Le 5 septembre 2017, cette décision a été invalidée par la Grande Chambre de la CEDH qui conclue, par onze voix contre six, à la violation de l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la « Convention »), considérant que les juridictions nationales roumaines n’ont pas mis en balance de manière adéquate le droit du salarié au respect de sa vie privée et de sa correspondance ainsi que les intérêts de l’employeur. Finalement la Cour fait sienne le raisonnement du requérant qui était d’avis que la question de la tolérance ou de l’interdiction totale de l’employeur quant à l’utilisation d’internet à des fins personnelles n’était pas déterminante pour l’analyse, à la différence de la question du moment auquel le salarié devait être averti de la surveillance de ses communications. En effet, même en présence d’une interdiction stricte de l’utilisation d’internet à des fins personnelles, l’employeur doit avertir directement le salarié et de façon explicite de son intention de recourir à un système de surveillance des communications du salarié avant de mettre en place un tel système de surveillance. De surcroît, l’employeur ne sera en droit d’utiliser le résultat de la surveillance des outils numériques professionnels utilisés par le salarié qu’à condition d’avoir suivi scrupuleusement la méthodologie rappelée par la Cour, méthodologie qui rappelons-le est déjà d’application au Luxembourg qui l’a intégré en droit interne.

III. Les critères d’appréciation de la légitimité d’une atteinte portée à la vie privée d’un salarié Comme tel était le cas avant cet arrêt, la preuve des manquements reprochés au salarié ne peut pas être rapportée de n’importe quelle façon. La fin ne justifie pas les moyens et en matière de surveillance, l’employeur doit rester loyal envers son salarié même quand il s’agit de rapporter la preuve de la déloyauté d’un salarié. L’arrêt du 5 septembre 2017 est donc l’occasion de rappeler que l’employeur ne peut exciper ni de son devoir de sauvegarder les intérêts de l’entreprise ni même de l’interdiction totale faite aux salariés d’utiliser internet à des fins privées pour légitimer la mise en place d’une surveillance attentatoire au respect de la vie privée desdits salariés. C’est à cet égard que la Cour livre une méthodologie claire sous forme d’un questionnaire divisé en sept parties auquel les juridictions nationales appelées à statuer dans des affaires similaires sont invitées à se soumettre. Les employeurs désireux de s’assurer que leurs salariés consacrent leur temps de travail à l’accomplissement de leur fonction ont également tout intérêt à se livrer à ce questionnaire avant de mettre en place un système de surveillance.

4 © Arendt & Medernach

10/2017

1. Le salarié a-t-il été informé de la possibilité que l’employeur prenne des mesures de surveillance de sa correspondance et de ses autres communications ainsi que de la mise en place de telles mesures ? Pour satisfaire aux exigences de l’article 8 de la Convention, l’information donnée au salarié doit en principe être claire quant à la nature de la surveillance et doit être préalable à la mise en place de celle-ci. Le fait qu’une note d’information contienne des informations suffisantes pour que les salariés comprennent que leurs communications sont susceptibles d’être surveillées n’est pas suffisant. L’information délivrée par l’employeur ne doit pas se faire au travers de sousentendus mais doit être explicite. Par conséquent, l’employeur ne doit pas se contenter d’informer que le travail des salariés peut être surveillé, mais faire explicitement savoir auxdits salariés que leurs emails/messages échangés pendant le temps de travail sur une messagerie dûment identifiée peuvent faire l’objet d’une surveillance. Cette information devra se faire en amont, soit avant la mise en place d’une telle surveillance. En l’espèce, la note d’information communiquée aux salariés n’indiquait pas avec précision que l’employeur pouvait surveiller leurs communications, y comprises celles échangées sur la messagerie instantanée professionnelle Yahoo Messenger. De surcroît l’employeur n’avait informé Monsieur Bărbulescu de la surveillance opérée sur ladite messagerie qu’une fois la surveillance en question achevée. 2. Quels ont été l’étendue de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée du salarié ? La Cour rappelle qu’une distinction doit être faite entre la surveillance du flux des communications et celle de leur contenu. Il importe également de vérifier si toutes les communications ou seulement une partie d’entre elles ont été surveillées, et de déterminer si la surveillance a été limitée dans le temps ou si le nombre de personnes ayant eu accès aux résultats a été limité. En l’espèce, l’employeur avait dans un premier temps informé le requérant que la surveillance avait porté sur le flux des communications et avait joint pour preuve des graphiques indiquant le trafic internet de ce dernier. Finalement, il s’est avéré que la surveillance avait porté sur l’intégralité des communications échangées sur la messagerie instantanée pendant plusieurs jours, l’employeur les ayant enregistré en temps réel pendant la période de surveillance, y ayant eu accès et en ayant imprimé le contenu. 3. L’employeur a-t-il avancé des motifs légitimes pour justifier la surveillance de ces communications et l’accès à leur contenu même? La Cour rappelle que la surveillance du contenu des communications étant de par sa nature une méthode particulièrement invasive, elle requiert des justifications plus sérieuses. Il est incontestable que l’employeur a le droit de vérifier l’utilisation des outils mis à la disposition de ses salariés, et notamment l’utilisation d’internet pendant les heures de travail, entre autres afin de vérifier qu’une telle utilisation ne préjudicie pas aux intérêts de 5 © Arendt & Medernach

10/2017

l’entreprise. Toutefois, l’employeur ne peut justifier la surveillance des communications de ses salariés ainsi que l’accès à leur contenu en invoquant simplement la nécessité de se prémunir contre le risque que les salariés endommagent les systèmes informatiques de l’entreprise, ne se livrent à des activités illicites dans l’espace virtuel engageant la responsabilité de l’entreprise, ou ne révèlent des secrets industriels de l’entreprise, si le risque invoqué n’est que théorique. En l’espèce, la surveillance des communications de Monsieur Bărbulescu et l’accès à leur contenu ne semblaient pas avoir eu pour but de prémunir l’entreprise contre l’un des risques susvisés, mais plutôt d’établir une violation du règlement intérieur. A aucun moment de la procédure devant les juridictions internes il n’a été concrètement reproché au requérant d’avoir exposé l’entreprise à l’un des risques précités. 4. Aurait-il été possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs que l’accès direct au contenu des communications du salarié ? La Cour invite les juridictions nationales à vérifier, compte tenu des circonstances propres à chaque affaire, s’il aurait été possible pour l’employeur d’atteindre le but poursuivi sans prendre connaissance de l’intégralité du contenu des communications du salarié. En l’espèce, la Cour estime qu’il n’est pas impossible que la violation du règlement intérieur reprochée à Monsieur Bărbulescu aurait pu être établie par d’autres moyens que l’accès au contenu des communications. 5. Quelles ont été les conséquences de la surveillance pour le salarié qui en a fait l’objet ? De quelle manière l’employeur a-t-il utilisé les résultats de la mesure de surveillance, notamment ces résultats ont-ils été utilisés pour atteindre le but déclaré de la mesure ? La Cour recommande aux juridictions nationales d’analyser la façon dont les résultats de la surveillance ont été utilisés vis-à-vis du salarié. En particulier, la sanction disciplinaire prononcée par l’employeur doit être adaptée à la faute reprochée au salarié. En l’espèce, l’employeur a fait usage de la sanction disciplinaire la plus grave en licenciant Monsieur Bărbulescu. 6. Le salarié s’est-il vu offrir des garanties adéquates, notamment lorsque les mesures de surveillance de l’employeur avaient un caractère intrusif ? La Cour précise à cet égard que les garanties en question doivent notamment permettre d’empêcher que l’employeur n’ait accès au contenu même des communications en cause sans que le salarié n’ait été préalablement averti d’une telle éventualité. En l’espèce, il est probable que l’employeur ait eu accès au contenu des communications du salarié avant que ce dernier n’en soit informé. Le fait que le salarié ait déclaré n’avoir utilisé la messagerie instantanée qu’à des fins professionnelles n’autorise pas l’employeur à en examiner le contenu faute d’avoir préalablement averti le salarié de la possibilité que ses communications sur ladite messagerie soient surveillées et d’avoir précisé la nature et l’étendue de la surveillance. 6 © Arendt & Medernach

10/2017

7. Le salarié dont les communications ont été surveillées a-t-il pu bénéficier d’une voie de recours devant un organe juridictionnel ayant compétence pour statuer sur le respect des critères énoncés ci-dessus ainsi que sur la licéité des mesures contestées ? Ainsi, pour apprécier la légalité de la mise en place d’un système de surveillance, les autorités nationales devront également vérifier si le salarié a bénéficié d’une voie de recours juridictionnel. En l’espèce, le salarié avait eu à sa disposition plusieurs voies de recours internes lui permettant de faire examiner la compatibilité de la surveillance de ses communications avec son droit au respect de sa vie privée et de sa correspondance. Le salarié avait volontairement fait le choix de limiter ses recours au dépôt d’une plainte pénale et à la saisine des juridictions du travail.



Pour plus d’informations, veuillez contacter:

Philippe Schmit Partner, Employment Law, Pensions & Benefits [email protected] Tel: +352 40 78 78 240 Ce document a pour objectif de vous fournir des informations generales sur les sujets mentionnés ci-dessus. En aucun cas il ne constitue un conseil légal, ni ne remplace Ia consultation adéquate d'un conseiller juridique.

7 © Arendt & Medernach

10/2017